1 / 52

Il progetto Dorothy

Il progetto Dorothy. The Italian Honeynet Chapter. Chi sono. Marco Riccardi Cybercrime Security Researcher @ Barcelona Digital Technologic Centre Fondatore del chapter italiano de The Honeynet Project Prof. Marco Cremonini – Relatore Università degli studi di Milan o. Agenda.

kim-spears
Download Presentation

Il progetto Dorothy

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Il progetto Dorothy The Italian Honeynet Chapter

  2. Chi sono • Marco Riccardi • Cybercrime Security Researcher @ Barcelona Digital Technologic Centre • Fondatore del chapter italiano de The Honeynet Project • Prof. Marco Cremonini – RelatoreUniversità degli studi di Milano

  3. Agenda • Introduzione • Il problema: le botnet • Processo di investigazione • The Dorothy Framework - Honeydoroty • Risultati • Conclusioni • Sviluppi recenti

  4. Introduzione • The Dorothy Project propone un framework progettato per • Analizzare • Rappresentare • Condividere ..tutte le informazioni riguardanti una botnet. • Honey-Doroty è il nome del software open source realizzato come proof of concept di tale framework

  5. Il problema : le botnet • Cosa sono • Quali minacce rappresentano • Quali sono le loro finalità • Perchè è difficile contrastarle

  6. Le botnet: cosa sono • Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDoS).

  7. Le botnet : minacce comuni • Spam • Furto di dati sensibili • Attacchi DDoS

  8. Le botnet : finalità • Spam • Furto di dati sensibili • Attacchi DDoS

  9. Le botnet : finalità • Spam • Furto di dati sensibili • Attacchi DDoS

  10. Le botnet : difficoltà • Difficoltà tecniche • Fenomeno che cambia velocemente la sua struttura • Molto difficile enumerare il numero dei pc compromessi • Difficoltà giuridiche • Una botnet coinvolge diverse entità giuridiche ( utente finale , ISP , forze dell’ordine, banche) • La sua struttura si sviluppa su scala mondiale, coprendo diverse giurisdizione, spesso poco collaborative

  11. Media

  12. Media

  13. Media

  14. Investigare su una botnet

  15. Il problema : le botnet Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDos).

  16. Il problema : le botnet Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDoS). • Che malware è stato eseguito?

  17. Il problema : le botnet Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDoS). • Che malware è stato eseguito? • Chi contatta lo zombie?

  18. Il problema : le botnet Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDoS). • Che malware è stato eseguito? • Chi contatta lo zombie? • Cosa comunica lo zombie?

  19. Presupposti

  20. Interoperabilitá: Community

  21. Soluzione proposta:The Dorothy Framework

  22. Obiettivi • Realizzare una piattaforma per l’analisi automatica ed autonoma di una botnet. • Rappresentare dinamicamente e velocementetutti i dati acquisiti attraverso un’interfaccia interattiva • Condividere tutte le informazioni acquisite e permettere a fonti esterne di contribuire.

  23. The Framework : la struttura • Modulare • Aggiunta/rimozione moduli: adattabile • Compatibile • Facile integrazione con altri framework • Scalabile • Ogni modulo è indipendente e distribuibile

  24. Raccogliere malware dalla rete

  25. Eseguire il malware in un ambiente controllato

  26. Osservare i comportamenti di rete

  27. Rep. le caratteristiche del C&C

  28. Acquisire informazioniper la geolocalizzazione

  29. Infiltrarsi nel C&C

  30. Estrarre le informazioni del C&C

  31. Generare grafici dinamici aggiornati

  32. Pubblicare i risultati aggiornati

  33. Modulo di visualizzazione dati “Un’immagine comunica più di 100 parole”

  34. Modulo di visualizzazione dati “Un’immagine comunica più di 100 parole”

  35. Modulo di visualizzazione dati “Un’immagine comunica più di 100 parole”

  36. Visualizzazione di un C&C

  37. Visualizzazione dati : spider chart

  38. Visualizzazione dati : mappa interattiva

  39. Risultati

  40. Risorse impiegate • n.1 Router ADSL linux / Firewall • n.1 iMac 20” • n.1 Linea Alice ADSL 4 Mbit / 1 IP pubblico dinamico disponibile

  41. Tempi • Inizio progettazione: 20 Settembre 2008 • Inizio acquisizione malware: 12 Dicembre 2008 • Inizio effettivo funzionamento Dorothy: 26 Gennaio 2009 • Fine dei test :23 Febbraio 2009

  42. Risultati ottenuti • 3900 malware acquisiti di cui 309 univoci analizzati. • 15 C&C aventi un’indirizzo IP univoco • 3 Centri Spam aventi un’indirizzo IP univoco • 3157 indirizzi e-mail univoci • 27273 nomi host univoci, 111 dei quali relativi ai C&C • 8992 zombie aventi un’indirizzo IP univoco

  43. Zombie 8992 indirizzi IP identificati come zombie

  44. Distribuzione zombie durante 24 ore

  45. Case study: Botnet Siwa

  46. Case study: Botnet Siwa

  47. Conclusioni

  48. Dorothy può • Identificare e tracciare botnet basate su protocollo HTTP ed IRC • Rappresentare automaticamente e autonomamente tutti i dati acquisiti • Visualizzare velocemente la minaccia affichè si possa identificare un’indice di rischio utile a realizzare un’efficace contromisura • Condividere le informazioni tra più entità

  49. Dorothy potrebbe... • Comunicare automaticamente l’appartenenza di un determinato IP all’interno di una botnet • Contattare automaticamente • L’amministratore di sistema / responsabile • L’ ISP • Le forze dell’ordine di competenza • Generare una blacklist aggiornata di tutti gli host (C&C / zombie) appartenenti ad una botnet • ....

  50. Sviluppi dal 2009 ad oggi.. • Capitolo ufficiale de Honeynet Project (Giugno 2009) • Re ingegnirizzazione del drone • Distribuito • Multipiattaforma • Re ingegnerizzazione della base di dati • Integrazione con il progetto HIVE • Base di dati relazionale distribuita • Sviluppo di nuovi moduli • Analisi statica/dinamica del malware • Notifica istantanea • Adattabilità a botnet di nuova generazione • P2P DIECI PERSONE (STUDENTI E PROFESSIONISTI DEL SETTORE) STANNO ATTUALMENTE CONTRIBUENDO AL PROGETTO

More Related